Firefox 3 - Page 16

Godzil (./447) :

Ximoon (./446) :
personne ne s'aperçoit que maintenant il y a un petit problème de génération de nombres aléatoires, par exemple

unsigned long rand()
{
   return 42; /* Garanteed to be random from a dice roll */
}

Tu as un dé à plus de 42 faces ?

Là, j'aurais plus tendance à opposer "logiciel développé en communauté" à "logiciel développé en entreprise" en fait, et c'est vrai que même si parfois l'opposition "libre"/"non libre" correspond à ça, ça n'est pas toujours le cas

Flanker (./451) :

Godzil (./447) :

Ximoon (./446) :
personne ne s'aperçoit que maintenant il y a un petit problème de génération de nombres aléatoires, par exemple

unsigned long rand()
{
   return 42; /* Garanteed to be random from a dice roll */
}

Tu as un dé à plus de 42 faces ?

J'en ai eu un a 100 faces oué ^^

Par contre, j'ai des 20 faces, des 10, 8 et meme 4 faces chez moi ^^

(et cette blague cours et est rigolote, mais j'en ai un vrai exemple )

./452 > tu prétends qu'en entreprise on trouve tous les bugs ?

./454 je ne vois rien de tel dans son post

Non il dit qu'en entreprise on a pas la même approche sur le développement

Ximoon (./446) :
(et pire : quelqu'un peut "corriger" des bugs qui n'en sont pas, alors qu'il ne maîtrise pas le code source, et comme tout le monde pense que tout le monde relit le code, personne ne s'aperçoit que maintenant il y a un petit problème de génération de nombres aléatoires, par exemple)

C'est pas pour rien que Firefox s'appelle Iceweasel si la distrib le modifie... Pour quelque chose d'aussi critique qu'OpenSSH ça aurait pu être une bonne idée de ne pas laisser croire que l'"OpenSSH" de Debian est le vrai ?

Tiens sinon question aux linuxiens : est-ce que concrètement il y a quelque chose qui empêche la personne qui compile le paquet openssh pour une distrib donnée d'introduire volontairement un bug de ce genre ? Par exemple, est-ce que la compilation est parfaitement déterministe et pourrait être revérifiée par un tiers qui regarderait le hash, ou est-ce qu'il faut juste prier pour que le mainteneur soit gentil ?

dualmoo (./448) :
oui enfin il y a aussi des bugs dans les logiciels propriétaires qui ne sont pas détectés pendant longtemps, c'est pas du tout spécifique au libre ça

Oui, mais la grosse différence c'est que la version de Debian a reçu implicitement la confiance qu'on accorde à l'OpenSSH normal, alors que manifestement y a des gens qui ont touché à du code cryptographique sans le connaître. Sous Windows/OS X quand tu installes un binaire de Foobar Corp tu sais que personne en dehors de Foobar Corp n'y a touché (et tu peux vérifier le hash).
Et puis je suis prêt à parier que la majorité des gens qui analysent le code d'OpenSSH ne regardent que l'upstream et pas la version modifiée...

Ximoon (./446) :
Pollux> #define MAIN_D_OEUVRE MOUSSE

(hahaha j'ai fait une blague de geek)

Pfff
Mais attention, si je commence à défendre les idées de Kevin et toi son humour je me demande ce qui va se passer ensuite vince qui ne jure que par l'eau minérale italienne, Martial qui milite pour la tolérance ?

ben justement je comprends pas son post (notamment je ne suis pas sur auquel il répond, mais j'imagine que c'est au ./448), j'essaie de clarifier ses propos

Oui, je répondais au ./448, et les posts suivants ont explicité mes propos

moo² (cf page précédente) moi aussi j'utilise ce qui marche en me foutant de l'origine du moment que tout ne saute pas, mais je ne vois pas Flanker (ou vince) faire de l'hyperprosélytisme, contrairement aux "libristes".

Nil (./439) :
Sinon, je ne suis pas totalement d'accord avec

Pollux (./438) :
Et puis la critique que fait Kevin aux sous-systèmes non libres de Linux est juste : s'il y a un bug personne ne peut le corriger.

Bien sûr qu'en théorie, quelque chose de libre peut être corrigé par "n'importe qui". Mais c'est à double tranchant : on se dit toujours que quelqu'un a dû le faire et donc on fait confiance aveuglément au système alors que l'histoire a prouvé (en particulier à propos, dernièrement, de la faille d'OpenSSH due à un "nettoyage" un peu abusif du code) que cette théorie était difficilement visible en pratique.

Là, tu parles de failles de sécurité seulement. Un bogue, ça peut aussi être une erreur qui t'empêche de faire ton travail, et ceux-là, on voit tout de suite qu'ils y sont.

Et la faille n'était pas une faille de OpenSSH, mais de Debian. Il n'y a que Debian (et les distributions comme Ubuntu qui copient bêtement tout ce que fait Debian) qui a été touché, Fedora n'a jamais eu cette faille!

Pollux (./457) :
Tiens sinon question aux linuxiens : est-ce que concrètement il y a quelque chose qui empêche la personne qui compile le paquet openssh pour une distrib donnée d'introduire volontairement un bug de ce genre ? Par exemple, est-ce que la compilation est parfaitement déterministe et pourrait être revérifiée par un tiers qui regarderait le hash, ou est-ce qu'il faut juste prier pour que le mainteneur soit gentil ?

Dans les grandes distributions, les binaires sont compilés sur un serveur de la distribution à partir des sources fournies, donc il n'y a pas moyen d'uploader des binaires qui ne correspondent pas aux sources.

Oui, mais la grosse différence c'est que la version de Debian a reçu implicitement la confiance qu'on accorde à l'OpenSSH normal, alors que manifestement y a des gens qui ont touché à du code cryptographique sans le connaître. Sous Windows/OS X quand tu installes un binaire de Foobar Corp tu sais que personne en dehors de Foobar Corp n'y a touché (et tu peux vérifier le hash).

Ça dépend d'où vient ton logiciel, les sites pirates sont parfaitement en mesure de modifier les logiciels de manière néfaste (même sans les sources), par exemple en mettant un virus. Et puis il y a eu des scandales où des virus ont été trouvés même dans des logiciels "officiels", par exemple ceux livrés avec certains matériels (au moins 2 gros scandales comme ça l'année dernière).

Kevin Kofler (./461) :
Il n'y a que Debian (et les distributions comme Ubuntu qui copient bêtement tout ce que fait Debian) qui a été touché !

Ce n'est pas la première fois que tu fais ce genre de remarques. Dégage du monde du libre, engage-toi chez Microsoft ou Apple.
Un mec qui méprise l'esprit même du libre (la redistribution de logiciels modifiés), l'une des 4 règles fondamentales, n'a rien à faire dans cet univers et détruit son image.

L'esprit du libre n'est pas de copier bêtement tout (ça, on peut le faire aussi avec un freeware propriétaire redistribuable), mais de pouvoir regarder et choisir attentivement ce qu'on prend, surtout quand il s'agit de patches non officiels pour un logiciel critique pour la sécurité comme OpenSSH. Il est évident que les patches tiers ont eu moins d'analyses de sécurité que le code officiel (voire aucune).

Thibaut > Non mais Kevin est pour le libre insidieux et viral. La preuve, il ne supporte pas la licence BSD. Il est clairement pour le "libre non libre".

Nil (./464) :
Thibaut > Non mais Kevin est pour le libre insidieux et viral. La preuve, il ne supporte pas la licence BSD. Il est clairement pour le "libre non libre".

Il est pour le "libre forcé", tiens exactement comme Rousseau...

Troll un jour, etc etc ?

D'ailleurs les trolls sur le net c'est comme les bastons de filles dans la rue, faut pas louper ça ! \o/

J'attends qu'une compilation se finisse (au passage, CDG contre Maven !), donc je me lance, au cas où ./464 ne serait pas un pur troll (je veux dire, un manque de connaissance plutôt que de la malice)

La licence BSD, c'est absolument génial et parfait, mais... elle a quand même permis à un fabricant de logiciel propriétaire (au hasard, Microsoft) d'intégrer du logiciel sous licence BSD (au hasard, une pile réseau) à un logiciel propriétaire (au hasard, Windows), c'est à dire de profiter du travail de la communauté, sans contribuer en retour

Y a eu une forme de contribution, à un plus grand public.

Et alors ? C'est le but de la license BSD, de permettre à chacun de profiter librement (c'est à dire sans conditions outrageusement restrictives) du travail que l'on a fait. Et pour le coup, je ne vois pas où est le problème.

On dirait que tu fais semblant de ne pas comprendre le sens de ce que j'écris.
[EDIT: cross. Je n'avais pas vu le post de Ximoon, ce n'était pas à lui que je m'adressais, c'était à The_CUrE.]

Surtout si la pile réseau a profité à un nombe plus important que la communauté BSD, non ?

Dans un sens Microsoft a pu faire connaître la facilité d'accès de la licence BSD, non ?

Lionel Debroux (./469) :
On dirait que tu fais semblant de ne pas comprendre le sens de ce que j'écris.

Si je puis me faire mettre, il fait exprès de ne pas revenir sur cet argument-là.

"demander de la réciprocité" == "outrageusement restrictif" ? Je ne suis pas de cet avis

Lionel Debroux (./472) :
"demander de la réciprocité" == "outrageusement restrictif" ? Je ne suis pas de cet avis.

Moi, je le suis, car ça crée deux mondes parallèles qui ne peuvent plus interragir entre eux. C'est soit GPL, soit le reste. Avec la BSD, on a vraiment le choix. Imposer la license du code qui utilisera le mien n'est pas une liberté que je lui laisse.

ouais mais les gépéeleux vont te dire que c'est dégeu qu'un gros connard comme croshit récupère le boulot fait gratuitement par une communauté

(le croshit est là pour appuyer l'ambiance du troll, pas pour faire exprès de faire du comique de répétition pas comique...)

En meme temps la licence BSD imposait a l'époque des crédits, donc ce n'est pas du vol ! (vu qu'ils y étaient/sont)

Lionel Debroux (./466) :

J'attends qu'une compilation se finisse (au passage, CDG contre Maven !), donc je me lance, au cas où ./464 ne serait pas un pur troll (je veux dire, un manque de connaissance plutôt que de la malice)

La licence BSD, c'est absolument génial et parfait, mais... elle a quand même permis à un fabricant de logiciel propriétaire (au hasard, Microsoft) d'intégrer du logiciel sous licence BSD (au hasard, une pile réseau) à un logiciel propriétaire (au hasard, Windows), c'est à dire de profiter du travail de la communauté, sans contribuer en retour

Oui, je suis au courant, mais c'est une limite du système à accepter. Quant à la contribution, elle s'est faite mais d'une autre façon (Ximoon l'a d'ailleurs indiqué).

En fait, c'est toute la limite de la liberté totale. Et c'est plus un débat philosophique qu'autre chose.

./476 Si tu me permets, je pense sincèrement que le débat du logiciel libre est purement philosophique, et que la question de quel soft choisir ou soutenir est une dérive dans le monde "pratique", donc une ouverture à la baston (un peu comme le débat sur la Jérusalem céleste face à la Jérusalem temporelle, et non j'ai pas trouvé mieux comme analogie).

Nil (./476) :
(Ximoon l'a d'ailleurs indiqué)

Rendons à The_CUrE ce qui est à The_CUrE (ou alors je ne vois pas de quoi tu parles

Ah oui, mince, toutes mes excuses

Pas grave, César dans son infinie sagesse est magnanime.